Wszystkie artykuły Poprzedni Następny

Czym jest smishing i jak się przed nim uchronić

Czym jest smishing (SMS phishing)? Jak rozpoznać tego typu atak i jak się przed nim uchronić? Postaramy się odpowiedzieć na te pytania w poniższym artykule.

smishing telefon

Coraz więcej ludzi ma styczność z określeniem phishingu, które powoli trafia do masowej świadomości. Większość z nas ma świadomość niebezpieczeństw, jakie związane są z wiadomościami e-mail. W ostatnich czasach coraz popularniejsze staje się pokrewne zjawisko smishingu, którego nazwa pochodzi od wiadomości SMS (SMiShing).

Czym jest smishing

Phishing to próba wyłudzenia wrażliwych danych (takich jak dane personalne, hasła, dane kart bankowych) zwykle przy pomocy e-maila. Smishing to podkategoria tego zjawiska polegająca na tego typu ataku przy pomocy wiadomości SMS.

Zjawisko staje nie coraz częściej wykorzystywane przez hakerów. Okazuje się, że jesteśmy dużo bardziej podatni na tego typu atak, a dzieje się tak z paru niezależnych powodów. Przede wszystkim nie mamy jeszcze takiej samej świadomości niebezpieczeństw jak w przypadku wiadomości e-mail. Korporacje przeprowadzają szkolenia mające pomóc nam w uniknięciu phishingu, a praktycznie każdy z nas miał styczność z niepożądanymi wiadomościami w skrzynce pocztowej. Kolejnym powodem większej podatności jest dużo większe zaufanie do wiadomości SMS. Badania Gartnera pokazują, że prawie wszystkie wiadomości SMS (98%) zostają przeczytane, a 45% z nich doczekuje się naszej odpowiedzi — dla porównania tylko 6% wiadomości e-mail uzyskuje odpowiedź. Do rosnącej popularności smishingu, przyczynia się, praktyczny brak automatycznego wykrywania potencjalnych ataków. W przypadku wiadomości e-mail mamy do czynienia z bardzo zaawansowanymi systemami antyspamowymi. Tego typu ochrony praktycznie nie ma w przypadku telefonów — rozwiązania blokujące potencjalnych złośliwych nadawców istnieją jako dodatkowe aplikacje, ale te, są rozwiązaniami relatywnie prymitywnymi w porównaniu do systemów chroniących naszą pocztę.

Dobrym przykładem smishingu wzięty z życia są fałszywe SMS-y o płatnościach za przesyłkę, które jakiś czas miały miejsce w Polsce. Mieszkaniec województwa podlaskiego stracił w ten sposób 17 tysięcy złotych. Wszystko zaczęło się od SMS-a informującego o konieczności dokonania dopłaty 50 groszy. Link z SMS-a kierował do fałszywej strony płatności. Po wprowadzeniu danych karty kredytowej i kodów te zostały wykorzystane przez hakerów do wypłaty 3 tysięcy i zaciągnięcia kredytu na kolejne 14 tysięcy złotych.

Raporty pokazują, że 84% organizacji spotkało się z atakiem smishingowym w ubiegłym roku.

Co hakerzy próbują uzyskać przy pomocy smishingu

Tak jak w przypadku phishingu chodzi głównie o dwie rzeczy. Jedną z nich jest wyłudzenie danych. Zwykle wygląda to tak, że dostajemy w wiadomości link, prowadzący do fałszywej strony z logowaniem (np. udającej nasz bank). Po wprowadzeniu danych te wędrują prosto do hakerów. Hakerzy są zainteresowani nie tylko naszymi danymi bankowymi, ale celem ataku może być hasło do klienta e-mail bądź stron social media, które posłużą do dalszych ataków.

Drugim głównym celem wykorzystywanym przy smishingu jest instalacja malware na naszym telefonie. Głównymi typami malware, które zostają zainstalowane w tego typu atakach to spyware i trojany. Te, są szczególnie niebezpieczne z powodu wrażliwości danych jakie przechowujemy na naszych telefonach, a także faktu, że mamy telefon praktycznie zawsze przy sobie. Jakiś czas temu pisaliśmy o objawach zhakowanego telefonu.

Mniej popularnymi, ale ciągle spotykanymi są próby bezpośredniego wyłudzenia pieniędzy przy pomocy klasycznych oszustw w rodzaju "nigeryjskiego księcia".

Jak się uchronić przed smishingiem?

Nie pozostajemy bez możliwości ochrony przed smishingiem. By zwiększyć swoje bezpieczeństwo, należy zastosować kilka prostych zasad:

  • tak samo, jak w przypadku phishingu e-mailowego należy stosować zasadę nieufności.
  • należy zwracać uwagę na wiadomości, które zmuszają nas do szybkiej odpowiedzi — z założenia powinny być traktowane jako potencjalny atak.
  • nie powinniśmy klikać w linki w wiadomościach.
  • powinniśmy zwrócić uwagę na numery telefonów wiadomości przychodzących. Niestandardowy format wiadomości może oznaczać serwisy typu email-to-text, które często wykorzystywane są przez hakerów.
  • nie przechowuj wrażliwych danych takich jak informacje bankowe na telefonie.
  • ignoruj wiadomości pytające o uaktualnienie danych bądź logowanie. Instytucje finansowe nigdy nie dokonują takich operacji przy pomocy SMS-ów. Jeśli masz wątpliwość, skontaktuj się bezpośrednio z daną firmą, bądź wejdź bezpośrednio na jej stronę.
  • nie instaluj oprogramowania z linków znajdujących się w wiadomościach, znajdź oryginalną stronę ręcznie, bądź zainstaluj oprogramowanie z App Store/Google Play Store.
  • zainstaluj aplikacje do automatycznego blokowania spamowych wiadomości.

Postaw kawę autorowi artukułu.

Zobacz wszystkie artykuły

Jeśli potrzebujesz pomocy, twoja strona została zainfekowana, chcesz dokonać audytu bezpieczeństwa, czy po prostu masz jakieś pytania — napisz do nas. Postaramy się pomóc.

Zgłoś błąd w tekście
×